AWS Cloud9 tidak lagi tersedia untuk pelanggan baru. Pelanggan yang sudah ada AWS Cloud9 dapat terus menggunakan layanan seperti biasa. [Pelajari selengkapnya](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Contoh kebijakan terkelola pelanggan untuk tim yang menggunakan AWS Cloud9
Berikut ini adalah beberapa contoh kebijakan yang dapat Anda gunakan untuk membatasi lingkungan yang dapat dibuat oleh pengguna dalam grup. Akun AWS
+ [Mencegah pengguna dalam grup membuat lingkungan](#setup-teams-policy-examples-prevent-environments)
+ [Mencegah pengguna dalam grup membuat lingkungan EC2](#setup-teams-policy-examples-prevent-ec2-environments)
+ [Izinkan pengguna dalam grup untuk membuat lingkungan EC2 hanya dengan jenis instans Amazon EC2 tertentu](#setup-teams-policy-examples-specific-instance-types)
+ [Izinkan pengguna dalam grup untuk membuat hanya satu lingkungan EC2 per Wilayah AWS](#setup-teams-policy-examples-single-ec2-environment)
## Mencegah pengguna dalam grup agar tidak membuat lingkungan
Kebijakan terkelola pelanggan berikut, saat dilampirkan ke grup AWS Cloud9 pengguna, mencegah pengguna tersebut membuat lingkungan dalam file Akun AWS. Ini berguna jika Anda ingin pengguna administrator Akun AWS mengelola lingkungan pembuatan. Jika tidak, pengguna dalam grup AWS Cloud9 pengguna melakukan ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloud9:CreateEnvironmentEC2",
"cloud9:CreateEnvironmentSSH"
],
"Resource": "*"
}
]
}
```
------
Kebijakan terkelola pelanggan sebelumnya secara eksplisit mengesampingkan `"Effect": "Allow"` untuk `"Action": "cloud9:CreateEnvironmentEC2"` dan `"cloud9:CreateEnvironmentSSH"` seterusnya `"Resource": "*"` dalam kebijakan `AWSCloud9User` terkelola yang sudah dilampirkan ke grup pengguna. AWS Cloud9
## Mencegah pengguna dalam grup agar tidak membuat lingkungan EC2
Kebijakan yang dikelola pelanggan berikut, saat dilampirkan ke grup AWS Cloud9 pengguna, mencegah pengguna tersebut membuat lingkungan EC2 dalam file Akun AWS. Ini berguna jika Anda ingin pengguna administrator Akun AWS mengelola pembuatan lingkungan EC2. Jika tidak, pengguna dalam grup AWS Cloud9 pengguna melakukan ini. Ini mengasumsikan Anda juga tidak melampirkan kebijakan yang mencegah pengguna di grup tersebut membuat lingkungan SSH. Jika tidak, pengguna tersebut tidak dapat membuat lingkungan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*"
}
]
}
```
------
Kebijakan terkelola pelanggan sebelumnya secara eksplisit menggantikan `"Effect": "Allow"` `"Action": "cloud9:CreateEnvironmentEC2"` on `"Resource": "*"` dalam kebijakan `AWSCloud9User` terkelola yang sudah dilampirkan ke grup pengguna. AWS Cloud9
## Izinkan pengguna dalam grup untuk membuat lingkungan EC2 hanya dengan jenis Instans Amazon EC2 tertentu
Kebijakan terkelola pelanggan berikut, saat dilampirkan ke grup AWS Cloud9 pengguna, memungkinkan pengguna dalam grup pengguna untuk membuat lingkungan EC2 yang hanya menggunakan tipe instans yang Akun AWS dimulai dengan `t2` dalam file. Kebijakan ini mengasumsikan bahwa Anda juga tidak melampirkan kebijakan yang mencegah pengguna di grup tersebut membuat lingkungan EC2. Jika tidak, pengguna tersebut tidak dapat membuat lingkungan EC2.
Anda dapat mengganti `"t2.*"` dalam kebijakan berikut dengan kelas instans yang berbeda (misalnya, `"m4.*"`). Atau, Anda dapat membatasinya ke beberapa kelas instance atau tipe instance (misalnya, `[ "t2.*", "m4.*" ]` atau`[ "t2.micro", "m4.large" ]`).
Untuk grup AWS Cloud9 pengguna, lepaskan kebijakan `AWSCloud9User` terkelola dari grup. Kemudian, tambahkan kebijakan yang dikelola pelanggan berikut sebagai gantinya. Jika Anda tidak melepaskan kebijakan `AWSCloud9User` terkelola, kebijakan yang dikelola pelanggan berikut tidak akan berpengaruh.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*",
"Condition": {
"StringLike": {
"cloud9:InstanceType": "t2.*"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
Kebijakan terkelola pelanggan sebelumnya juga memungkinkan pengguna tersebut untuk membuat lingkungan SSH. Untuk mencegah pengguna tersebut agar tidak membuat lingkungan SSH sama sekali, hapus `"cloud9:CreateEnvironmentSSH",` dari kebijakan yang dikelola pelanggan sebelumnya.
## Izinkan pengguna dalam grup untuk membuat hanya satu lingkungan EC2 di masing-masing AWS Region
Kebijakan yang dikelola pelanggan berikut, ketika dilampirkan ke grup AWS Cloud9 pengguna, memungkinkan setiap pengguna tersebut untuk membuat maksimal satu lingkungan EC2 di setiap lingkungan AWS Region yang AWS Cloud9 tersedia di. Ini dilakukan dengan membatasi nama lingkungan ke satu nama tertentu di dalamnya. AWS Region Dalam contoh ini, lingkungan dibatasi untuk`my-demo-environment`.
**catatan**
AWS Cloud9 tidak mengaktifkan pembatasan lingkungan ke spesifik Region AWS agar tidak dibuat. AWS Cloud9 juga tidak memungkinkan membatasi jumlah keseluruhan lingkungan yang dapat dibuat. Satu-satunya pengecualian adalah [batas layanan](limits.md) yang dipublikasikan.
Untuk grup AWS Cloud9 pengguna, lepaskan kebijakan `AWSCloud9User` terkelola dari grup, lalu tambahkan kebijakan terkelola pelanggan berikut sebagai gantinya. Jika Anda tidak melepaskan kebijakan `AWSCloud9User` terkelola, kebijakan yang dikelola pelanggan berikut tidak akan berpengaruh.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentEC2"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloud9:EnvironmentName": "my-demo-environment"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
Kebijakan terkelola pelanggan sebelumnya memungkinkan pengguna tersebut untuk membuat lingkungan SSH. Untuk mencegah pengguna tersebut agar tidak membuat lingkungan SSH sama sekali, hapus `"cloud9:CreateEnvironmentSSH",` dari kebijakan yang dikelola pelanggan sebelumnya.
Untuk contoh lainnya, lihat [Contoh kebijakan yang dikelola pelanggan](security-iam.md#auth-and-access-control-customer-policies-examples).